IEC61508-2010-6-公式解释

1IEC61508-2010-6公式解释张屹2012年3月21日摘要明晰了IEC61508计算PFD和PFH需要的基本概念，包括低要求和高要求模式、失效的分类、以及PFD和PFH的定义。给出了IEC61508计算PFD和PFH的基本原理，解释了公式的导出过程，从而能够更精确的进行相关计算，尤其是符合实际中的各种假设和应用条件，最终保证计算结果的正确性。关键字：功能安全、IEC61508、PFD、PFH1引言IEC61508-2010-6（后称61508）给出计算PFD和PFH的公式，但是实际评价系统安全性指标很难直接应用这些公式。61508只对1oo1、1oo2、2oo2、1oo2D、2oo3、1oo3共6种结构的PFDavg和PFH给出计算公式，不能覆盖所有安全相关系统的所有结构。另外61508对公式本质，即推导过程没有给出详尽的描述，尤其是各种假设和应用条件与公式的密切联系没有体现出来，因此直接应用这些公式很可能导致错误的结果。所以有必要对61508各个公式进行详细的解释，有助于61508中的公式更好的投入实际应用中。2基本概念解释2.1低要求（Lowdemand）模式、高要求（Highdemand）模式、连续（Continuous）模式“要求”是受控设备（EUC：EquipmentUnderControl）对安全相关系统（SafetyRelatedSystem）提出的要求。当EUC将要发生危险即是对安全相关系统提出了要求，要求安全相关系统执行安全功能。例如锅炉的压力超过了最高门限，锅炉即对安全仪表系统（SIS：SafetyInstrumentedSystem）提出要求，要求SIS打开减压阀门；又例如列车速度超过最高门限，列车即对自动超速防护系统（ATP：AutomaticTrainProtection）提出要求，要求ATP对列车实施制动。低要求模式、高要求模式和连续模式的不同是与“要求”的频率（或时间间隔）有关。61508中给出的定义是：低要求模式：为了使EUC进入规定的安全状态，安全功能是根据“要求”被执行的，而且“要求”的频率小于每年一次；高要求模式：为了使EUC进入规定的安全状态，安全功能是根据“要求”被执行的，而且“要求”的频率大于每年一次；连续模式：安全功能是作为正常运行的一部分，从而使EUC保持在安全状态。2.2失效分类根据失效后果，失效可以分为安全失效（例如失效后减压阀门开放）和危险失效（例如失效后减压阀门关闭）。根据失效是否被系统的在线诊断程序检测到，失效可以分为检测到失效和未检测到失效。上述两种分类方式能够得到共四类失效类型：安全可测（SD：Safe&Detectable）、安全不可测（SU：Safe&Undetectable）、危险可测（DD：Dangerous&Detectable）和危险不可测（DU：Dangerous&Undetectable）。对于不同类型的失效，系统将采取不同的措施，并发生不同的后果。对于可维修系统而言，如果发生SD失效，系统将进入修复过程，系统2不发生危险；如果发生SU失效，系统进入安全状态，不发生危险，等待手动检查测试（ManualProofTest）后进入修复过程（假设手动检查测试能够检测到100%的系统失效）；如果发生DD失效，系统将进入修复过程，如果此时能够及时拒绝（negation）危险失效，使EUC进入安全状态则系统不发生危险，否则系统发生危险；如果发生DU失效，则系统发生危险。图1的状态图描述了四类失效的发生与各个状态的转换过程，并表示了各个状态是否安全。其中RA（Repairresourceavailable）表示维修资源可用；PT（ProofTest）表示定期的手动检查测试；NG（negation）表示拒绝危险失效，即导向安全侧；RF（Repairingfinished）表示维修结束。可见图中的DD和DU失效产生了危险状态，如果NG的时间足够短，则只需考虑DU失效。图1中的状态转移过程只代表一种通用的状况，实际中还应考虑具体应用场景而做出相应变更。例如，如果修复阶段也保持着EUC的正常运行，则危险失效后的修复阶段也应该是危险状态。SD正常运行安全检测到的安全失效安全未检测到的安全失效安全检测到的危险失效危险未检测到的危险失效危险修复安全SUDDDUNG拒绝的危险失效安全RAPTPTRARF图1系统失效状态图2.3PFDavg与PFHPFDavg和PFH是评价安全完整性等级（SIL：SafetyIntegrityLevel）的量化指标，可以通过61508的公式对它们进行计算。其中，低要求模式使用PFDavg评价，高要求和连续模式使用PFH评价。表1目标SIL等级的评价[3]SIL等级PFDavg（低要求模式）PFH（高要求或连续模式）410-5PFDavg10-410-9PFH10-8310-4PFDavg10-310-8PFH10-7210-3PFDavg10-210-7PFH10-6110-2PFDavg10-110-6PFH10-5PFD（probabilityofdangerousfailureondemand）的含义是安全相关系统被要求时执行安全功能的失效概率，即表示安全功能的不可用性。PFDavg（averageprobabilityofdangerousfailureondemand）是PFD在给定时间段内的平均值。PFDavg表示为安全功能的不可用性[2]：MDT1PFDDMDTavgDe(1)其中D为危险失效率；MDT（meandowntime）是平均停机时间。公式(1)中的约等于3号是由于通常情况下1MDTD。对于可测危险失效，MDT为平均恢复时间（MTTR：meantimetorestoration），包括了实际的平均维修时间（MRT：meanrepairtime）和其他相关的时间延迟（例如故障报告时间、维修人员的交通时间等）。对于不可测危险失效，MDT和手动检查测试的时间间隔T1有关，再加上MRT。因此，依据危险失效是否可测，决定了MDT的构成。PFH（averagefrequencyofadangerousfailureperhour）的含义是给定时间内安全相关系统执行安全功能的平均危险失效频率。理论上，PFH等于绝对失效强度（unconditionalfailureintensity，也叫失效频率）的平均，并不是一个失效率。根据61508的描述，当安全相关系统是最后的安全保障层时（即此安全相关系统危险失效后系统将发生危险），PFH的表达式为：TTF)/(，其中)(tF为不可靠度函数；T为给定时间。当安全相关系统不是最后的安全保障层时，PFH等于1/MTBF。61508中的计算公式是基于前一种情况，即安全相关系统是最后的安全保障层。此时如果假设危险失效率为常数，而且足够小，则tttFDD)exp(1)(，因此MDTPFDTTTTFPFH//)/(avgDD(2).3PFDavg与PFH的计算3.1假设条件61508的计算是基于一定的假设条件，因此应用61508公式之前需要检验实际情况是否满足其假设条件。例如：1.元件失效率在生命周期中保持恒定；2.一个比较组中各个通道具有相同的失效率和故障覆盖率；3.检查测试的时间间隔至少比MRT大一个数量级；4.高要求或连续模式下，系统诊断到危险失效后总能及时使系统进入到安全状态。如果实际情况与假设条件不相符，则不能直接使用这些公式，需要对公式做相应修正才可以使用。3.2MDT的计算对于可测危险失效，MDT等于MTTR。而对于不可测危险失效，MDT不但包括MRT而且与手动检查测试的时间间隔T1有关。因此计算MDT时，不可测失效的MDT需要得到更多的关注。0tT1T1+MRT时间图2不可测失效过程图2表达了检查测试时间间隔内发生不可测危险失效的情况，其中t为不可测危险失效的发生时刻；T1为手动检查测试时刻；T1+MRT为系统安全功能已经恢复的时刻。可见对于不可测危险失效，MDT可以表示为T1-t在0tT1的条件下的数学期望，再加上MRT。所以对于不可测危险失效，MDT如下式所示：4MRTdttfdttftTMRTTttTEMDTTT1100111U)()()()0((3)其中)(tf为失效概率密度函数。对于可测危险失效，MDT为：MTTRMDTD(4)3.3moon结构为了实现足够高的安全完整性等级，安全相关系统通常由moon（n取m，例如1oo2、2oo3等）结构组成。安全相关系统moon结构的可靠性框图由图3表示。多个通道具有相同的危险失效率D；CCF（commoncausefailure）表示各通道的共因失效。λDmoonλDλDCCF图3moon结构系统可靠性框图不考虑共因失效的情况下，只有当结构中有n-m+1个通道都发生危险失效的情况下，系统才发生危险失效。对于第一个发生危险失效的通道，其等效MDT等于单通道（1oo1）结构的MDT，即CEt；对于第二个发生危险失效的通道，其等效MDT等于双通道并联（1oo2）结构的MDT，即GEt；对于第三个发生危险失效的通道，其等效MDT等于三通道并联（1oo3）结构的MDT，即G2Et；以此类推，对于第n-m+1个发生危险失效的通道，其等效MDT等于n-m+1通道并联（1oon-m+1）结构的MDT，也等于moon结构的MDT，即)EG(n-mt。因此，moon结构的PFDavg为：)EG(G2EGECE1D11avgP)1()1)(1)(1(PPFD)EG(DG2EDGEDCEDn-mmnmnnttttmnntttteeeen-m(5).由公式(2)得出moon结构的PFH为：)E1G(G2EGECE1D1PPFHn-mmnmnntttt(6).依据以上公式，下文将分别给出61508中各种结构PFDavg和PFH的推导过程。3.41oo1结构1oo1结构只由一个通道构成，通道的任何危险失效都将引起系统安全功能的失效，其物理框图如图4所示。5通道诊断图31oo1结构的物理框图图3中的诊断模块可以在线检测通道的失效，所以61508将单个通道建模为两个串联的原件，一个代表可测失效，另一个代表不可测失效。它们具有的失效率分别为：DD和DU；MDT分别为DMDT和UMDT；结构的整体失效率为D，等效的MDT为CEt。可靠性框图如图4所示。λDUMDTDλDDMDTUλDtCE图41oo1结构的可靠性框图整体失效率D与个体失效率DD和DU的关系是：DDDUD；)1(DDUDC；DCDDD(7)通道的等效MDT为：DDDDUDDUCEMDTMDTt(8)其中DMDT需要由式(3)得出。对于恒定失效率，式(3)中的失效概率密度函数为：DUDUDU)())exp(1()(tttf(9)带入式(3)得出MRTTMDT21U(10).另外由式(4)得出MTTRMDTD(11).因此，由公式(5)得1oo1结构的PFDavg为CEDavgtPFD(12).计算PFDavg时的假设是1oo1结构中的诊断模块不对安全功能的输出产生影响，即使诊断出危险失效情况下，也只是给出维修的指示。因此在PFDavg中包含了DD的成分。而在计算PFH时，假设在高要求或连续模式下，当诊断模块检测出危险故障时，立即驱使EUC进入安全状态。因此由公式(6)得出1oo1结构的PFH为DUPFH(13).63.51oo2结构1oo2结构是由两个通道并联组合构成，只有当两个通道都发生危险失效时，系统的安全功能才发生失效。当只有一个通道发生危险失效时，系统处于降级运行状态，仍然可以实现安全功能。因此第一个失效通道的等效MDT等于1oo1结构的MDT，即CEt。当第二个通道也发生危险失效时，整个系统并联组合发生危险失效。此时第二个失效通道的